暂停自主勒索软件保护以从分析中排除工作负载事件
建议更改
PDF
如果您预期会发生异常工作负载事件、您可以随时临时暂停和恢复自主勒索软件保护(ARP)分析。
从ONTAP 9.13.1开始、您可以启用多管理员验证(MAV)、以便需要两个或更多经过身份验证的用户管理员来暂停ARP。
"了解有关MAV的更多信息"(英文)
在ARP暂停期间、不会记录任何事件、也不会对新写入执行任何操作。但是,分析操作仍会在后台对早期日志执行。
|
请勿使用ARP禁用功能暂停分析。这样做会禁用卷上的ARP、并且与所了解的工作负载行为相关的所有现有信息都将丢失。这需要重新开始学习。 |
您可以使用System Manager或ONTAP命令行界面暂停ARP。
-
选择*存储>卷*,然后选择要暂停ARP的卷。
-
在卷概述的安全性选项卡中,选择*反勒索软件*框中的*暂停反勒索软件*。
从ONTAP 9.13.1开始,如果使用MAV保护ARP设置,暂停操作将提示您获得一个或多个其他管理员的批准。 "必须获得所有管理员的批准" 与MAV审批组关联、否则操作将失败。
-
暂停卷上的ARP:
security anti-ransomware volume pause -vserver svm_name -volume vol_name -
要恢复处理、请使用
resume命令:security anti-ransomware volume resume -vserver svm_name -volume vol_name -
如果您使用MAV (从ARP.13.1开始提供)来保护您的ONTAP 9设置、暂停操作会提示您获得一个或多个其他管理员的批准。必须从与MAV批准组关联的所有管理员处获得批准、否则操作将失败。
如果您正在使用MAV、并且预期的暂停操作需要额外的审批、则每个MAV组审批人将执行以下操作:
-
显示请求:
security multi-admin-verify request show -
批准申请:
security multi-admin-verify request approve -index[number returned from show request]最后一个组批准者的响应指示卷已修改、并且ARP状态已暂停。
如果您正在使用MAV、并且您是MAV组批准者、则可以拒绝暂停操作请求:
security multi-admin-verify request veto -index[number returned from show request] -